В последние дни украинцы массово получали подозрительные ссылки. Исследование подтвердило опасность таких рассылок.
Об этом сообщила правительственная команда реагирования на чрезвычайные события Украины CERT-UA на своей странице.
Команда получила информацию о массовом распространении подозрительных ссылок (таких как hxxps://rwi2v[.]eu/Q2llT5wJ). Исследовав их, эксперты выяснили, что в случае открытия такой ссылки браузер мобильного устройства производит загрузку страниц и кодов, имитирующих страницу авторизации Facebook и осуществляющего эксфильтрацию введенных аутентификационных данных.
Если ширина экрана более 800 пикселей произойдет перенаправление на главную страницу веб-сайту hxxps://www.youtube[.]com/. Эксперты предположили, что таким образом происходит фильтрация не мобильных устройств.
Читай также: Смените пароли: задержаны хакеры, которые продавали данные 50 тыс. украинцев
По информации команды, доменное имя rwi2v[.]eu создано 4 февраля 2022 года и ассоциировано с email-адресом theone2716@gmail[.]com, как и еще 7 подобных доменных имен, созданных в ноябре - декабре 2021 года.
"Подобная активность осуществляется неустановленной группой лиц, именующих себя "TeamLucernaRD", не позднее ноября 2021 года с целью похищения аутентификационных данных пользователей Facebook", - сообщает CERT-UA.
При этом команда уточнила, что связь этой активности с хакерской атакой на информационные ресурсы 15февраля 2022 года не подтверждена и призывала "не переходить по подозрительным ссылкам и использовать мультифакторную аутентификацию".
Ранее Realist.online сообщал, что Минобороны раскрыло новые детали кибератаки.